Panoramica di Managed Harbor Service

Questo documento fornisce una panoramica di Managed Harbor Service (MHS) in Google Distributed Cloud (GDC) con air gap.

MHS è un registro dei container completamente gestito basato sul progetto open source Harbor. L'integrazione di MHS nel tuo ambiente GDC fornisce un modo sicuro e scalabile per gestire il ciclo di vita degli artefatti dei container in ambienti isolati senza manutenzione manuale.

Questa panoramica introduce i concetti fondamentali necessari per lavorare con MHS in GDC air-gapped, inclusa la relazione tra i progetti GDC e i progetti di istanza Harbor. Vengono inoltre descritti in dettaglio i limiti amministrativi tra i ruoli Identity and Access Management (IAM) a livello di infrastruttura e il controllo dell'accesso dell'accesso basato sui ruoli (RBAC) a livello di registro, nonché le funzionalità principali come la garbage collection automatica e i limiti di rendimento del servizio.

Questo documento è destinato agli sviluppatori dei gruppi di amministratori della piattaforma o operatori di applicazioni che utilizzano e amministrano MHS in GDC. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Come funziona Managed Harbor Service in GDC

Piani operativi

GDC MHS opera su due livelli funzionali distinti dell'architettura di rete. Ogni livello consente operazioni specifiche:

• Livello del piano di gestione: consente di creare ed eliminare le istanze del registro Harbor.
• Livello del piano dati: consente di eseguire il push e il pull delle immagini container nell'istanza Harbor.

Differenze tra i progetti GDC e i progetti di istanza Harbor

Il servizio Harbor gestito prevede due tipi di progetti distinti. Comprendere l'interazione tra queste entità ti consente di gestire le risorse e i controlli dell'accesso al livello appropriato:

• Progetto GDC: l'unità organizzativa per la gestione dell'infrastruttura. Utilizzalo per gestire l'istanza del registro Harbor insieme ad altre risorse GDC come VM e cluster.

  • Limiti: un progetto GDC può contenere una sola istanza Harbor. Tuttavia, questa singola istanza può essere condivisa tra più progetti GDC per fornire un registro centralizzato per il tuo ambiente.
  • Accesso: richiede ruoli IAM a livello di progetto GDC per la creazione, la gestione e le attività amministrative delle istanze.

• Progetto dell'istanza Harbor: un raggruppamento logico per la gestione degli artefatti che esiste all'interno di un'istanza Harbor. Utilizzalo per organizzare le immagini container e l'accesso a livello di repository.

  • Limiti: un'istanza Harbor supporta più progetti Harbor. Questi possono essere assegnati a singoli team o utenti per consentire il multi-tenant all'interno di un registro condiviso.
  • Accesso: richiede ruoli RBAC specifici del registro per gestire i repository, eseguire attività amministrative e controllare l'accesso agli artefatti all'interno del progetto.

Funzionalità

Harbor è un progetto open source laureato della Cloud Native Computing Foundation (CNCF) che fornisce una soluzione di registro dei container cloud integrata per Kubernetes e Docker. Con l'integrazione del servizio gestito, puoi eseguire il deployment di un'istanza Harbor per archiviare e gestire gli artefatti su GDC. MHS offre le seguenti funzionalità:

• Le istanze Harbor vengono sottoposte a provisioning e gestite automaticamente da GDC.
• Harbor è integrato con IAM di GDC per i sistemi di autenticazione e osservabilità.
• È possibile eseguire l'upgrade delle istanze Harbor alla versione stabile più recente.
• Harbor è stato migliorato per soddisfare i requisiti di conformità e qualità di GDC.
• Un'istanza Harbor è una risorsa di zona. Viene eseguito il deployment in una zona, ma è accessibile da qualsiasi zona all'interno dell'universo di deployment di GDC.

Identity and Access Management (IAM)

RBAC per Managed Harbor Service viene applicato sia a livello di progetto GDC che a livello di progetto del registro Harbor. Gli utenti con i ruoli IAM appropriati possono accedere a un'istanza Harbor e gestirla all'interno di un progetto GDC, mentre gli utenti con i ruoli di progetto del registro Harbor appropriati possono gestire gli artefatti ed eseguire attività amministrative all'interno di un progetto Harbor.

Ruoli IAM del progetto GDC

GDC assegna le autorizzazioni a livello di progetto utilizzando i ruoli GDC-IAM. Trova i ruoli richiesti nel documento procedurale MHS e chiedi all'amministratore IAM dell'organizzazione di concederti l'accesso.

Per eseguire operazioni di Infrastructure Operator (IO), consulta i manuali di servizio GDC MHS per trovare i ruoli IAM richiesti per le tue attività.

Ruoli di progetto del registro Harbor

Un progetto Harbor utilizza il proprio insieme di meccanismi RBAC, che differiscono dai ruoli IAM di GDC.

Per gestire i repository e gli artefatti del progetto di registro Harbor, devi disporre del ruolo Harbor corretto assegnato a livello di progetto Harbor. Per un elenco dei ruoli di Harbor, consulta il documento di Harbor per la gestione dell'accesso utente: https://goharbor.io/docs/2.8.0/administration/managing-users/.

Prestazioni

Google ha testato e verificato MHS per supportare i limiti specificati in Limiti di sistema.

I limiti di prestazioni effettivi potrebbero essere superiori.

Garbage collection

Quando utilizzi MHS per aggiungere ed eliminare immagini dal registro, i dati inutilizzati possono accumularsi nel tempo. Per evitare di sovraccaricare le risorse di archiviazione, MHS esegue automaticamente la garbage collection ogni 12 ore. Non devi configurare manualmente la raccolta dei rifiuti.

Passaggi successivi

Per attivare e utilizzare MHS, consulta i seguenti documenti:

• Crea istanze del registro Harbor.
• Crea progetti di istanze Harbor.
• Gestisci le istanze del registro Harbor.